قد يواجه مستخدمو منصة LinkedIn الذين يعتزمون توثيق هوياتهم تحديات جديدة بعد الجدل الذي أثاره التقارير الأخيرة حول شريك التحقق من الهوية الخاص بالمنصة، حيث تعرضت شركة Persona، التي تعمل مع LinkedIn، لانتقادات بسبب مزاعم تتعلق بمشاركة معلومات المستخدمين الشخصية مع شركاء بيانات آخرين وتوسيع نطاق الوصول إلى بيانات الأفراد الراغبين في تأكيد هويتهم عبر المنصة.
تقرير أمني يكشف تفاصيل جمع البيانات
أفاد تقرير حديث نشر على مدونة The Local Stack بأن باحثًا أمنيًا قام بمراجعة شروط الخدمة والإجراءات الخاصة بشركة Persona، ليكتشف أن المنصة تجمع مجموعة واسعة من المعلومات بناءً على مستندات الهوية التي يرفعها المستخدمون لغرض التحقق، وقد استخدم الصحفي صورة جواز سفره لتأكيد هويته عبر Persona للحصول على شارة التوثيق في LinkedIn، وبعد رفع المستند، قام نظام Persona بمطابقة عدة نقاط بيانات واستخلاص معلومات متعددة.
شملت هذه البيانات الاسم الكامل والقياسات الهندسية للوجه وبيانات شريحة NFC المستخرجة من جواز السفر ورقم الهوية الوطنية والبريد الإلكتروني ورقم الهاتف وعنوان IP والموقع الجغرافي وغيرها من المعلومات الحساسة.
تدقيق شامل يتجاوز التوقعات
بحسب التقرير، لم تقتصر عملية جمع البيانات على ذلك فقط، بل قامت Persona بمطابقتها مع قواعد بيانات حكومية ووكالات تقارير ائتمانية وشركات مرافق عامة وقواعد بيانات العناوين البريدية، بالإضافة إلى مصادر أخرى، ويعتبر هذا النوع من التدقيق الخلفي خطوة متقدمة للتحقق من الهوية، إلا أن القلق الأكبر يتمثل في كيفية استخدام هذه البيانات لاحقًا وإمكانية مشاركتها مع أطراف أخرى.
مشاركة البيانات مع 17 جهة فرعية
أشار التقرير أيضًا إلى أن المعلومات التي تم جمعها أصبحت متاحة لما يصل إلى 17 جهة معالجة فرعية، وهي أطراف ثالثة متعاقدة يمكنها الوصول إلى البيانات ضمن منظومة العمل الخاصة بالشركة، ويثير هذا العدد من الشركاء تساؤلات حول مستوى حماية الخصوصية والاحتمالات المحتملة لاستخدام المعلومات الشخصية بطرق غير واضحة.
رد رسمي من الرئيس التنفيذي لشركة Persona
في المقابل، نفى الرئيس التنفيذي لشركة Persona، Rick Song، هذه الادعاءات عبر منشور على LinkedIn، موضحًا أن الشركة لا تعالج بيانات المستخدمين لأي غرض آخر غير تأكيد الهوية، وأكد سونج أن الشركة لا تستخدم أي بيانات شخصية في تدريب أنظمة الذكاء الاصطناعي، كما أشار إلى أن البيانات البيومترية يتم حذفها فور انتهاء عملية المعالجة، بينما تُحذف بقية البيانات الشخصية خلال مدة لا تتجاوز 30 يومًا، ووضح أن قائمة الجهات الفرعية المذكورة في وثائق Persona قد تكون مضللة، حيث يمكن للعملاء اختيار المنتجات أو الخدمات المستخدمة في عملية التحقق مما يحدد الجهات الفرعية التي يمكنها الوصول إلى البيانات، وشدد على أن Persona لا تشارك بيانات المستخدمين مع أي أطراف غير معتمدة.
تداعيات الأزمة على شركاء Persona
رغم النفي الرسمي، يبدو أن الأزمة بدأت تترك أثرها بالفعل، حيث قررت منصة Discord إنهاء تجربتها مع Persona كشريك للتحقق من الهوية استجابةً للمخاوف المثارة، كما أفادت التقارير بأن شركاء آخرين لـ Persona يطالبون الشركة بتوضيحات أكثر تفصيلًا بشأن آليات مشاركة البيانات مع الشركاء الموسعين، وفي حال عجزت Persona عن تقديم إجابات مقنعة، فقد يمثل ذلك ضربة قوية لأعمالها خاصة في ظل اتساع قاعدة مستخدمي LinkedIn الذين قاموا بتوثيق حساباتهم.
100 مليون مستخدم تحت المجهر
تشير البيانات إلى أن نحو 100 مليون مستخدم على LinkedIn قاموا بالفعل بتوثيق معلومات حساباتهم داخل التطبيق، وتجدر الإشارة إلى أن LinkedIn يعمل مع عدة شركاء في مجال التحقق من الهوية، مما يعني أن ليس جميع هؤلاء المستخدمين خضعوا لمعالجة بياناتهم عبر Persona، ومع ذلك، فإن حجم المستخدمين الكبير يجعل من القضية مسألة ذات أبعاد واسعة، خصوصًا إذا ثبت وجود ثغرات في إدارة البيانات أو مشاركة المعلومات الحساسة، وتبقى الأسئلة مطروحة حول مدى شفافية شركات التحقق من الهوية في إدارة البيانات الشخصية وحدود استخدام تلك المعلومات في وقت تتزايد فيه أهمية الخصوصية الرقمية عالميًا.